Servidores Apache+PHP+MySQL

Instalar un servidor web en nuestro propio PC puede resultar complicado si es la primera vez lo hacemos. Para instalar Apache con PHP hay que hacer modificaciones a archivos de configuración, si necesitamos MySQL hace falta habilitar un módulo en PHP.

Para facilitarnos la instalación de un servidor existen algunos paquetes que nos instalan todo el software y sin necesidad de configurarlo. Aquí les presento dos de ellos, WAMP y XAMPP.

WAMPWAMP es un paquete sólo para Windows que instala Apache, PHP 5, MySQL 5, PHPmyadmin y SQLitemanager de un sólo paso. Cuenta con varios “add-ons” como un intérprete perl y el Zend Optimizer, y para mayor compatibilidad también es posible instalar PHP 4 y Apache 2.

La descarga de WAMP es de 23MB.

XAMPPXAMPP nos instala un servidor muy completo y lo mejor de todo es que está disponible para las plataformas más populares, Linux, Windows, Mac OS X y Solaris. Además de instalarnos Apache, PHP y MySQL también nos da la opción de un servidor FTP y muchos módulos muy útiles para PHP.

XAMPP también cuenta con “add-ons” como Perl y Python.

Así que ya no hay pretexto para no instalar un servidor en tu propio PC.

Leer completa…

Actualización | Vulnerabilidad de WordPress

Ya conozco más detalles acerca de la vulnerabilidad de WordPress que les comentaba hace dos días. Ya comprobé que deshabilitando register_globals en PHP este exploit no funciona.

En alt1040.com vi que hay un parche no probado para solucionar el problema. El servidor donde está alojado el parche no está funcionando. Según el post comenta que hay que parchar el archivo functions.php — puedo suponer que el parche si funciona porque es en functions.php donde se encuentra la vulnerabilidad ($cache_lastpostdate).

Actualización #2

Lo que dice el documento de DreamHost para desactivar los register_globals es lo siguiente:

In order to turn this setting off, create a file named “.htaccess” in the directory you want this setting to affect. If you want it to affect an entire domain name, create the “.htaccess” file in the root directory for that domain (usually, this directory is named after the domain). Within the file, place the following line:

php_flag register_globals off

Actualización #3

Estoy viendo el código del exploit y efectivamente si hace uso del $wp_filter y de $cache_lastpostdate. La vulnerabilidad es GRAVE, el atacante puede tener control total de tu servidor.

Resumiendo

Tu blog es vulnerable si:

  • El servidor de tu blog tiene “register_globals On” y…
  • La versión de WordPress es menor o igual a 1.5.1.3.

Tu blog es invulnerable si:

  • El servidor de tu blog tiene los register_globals Off.
  • El servidor de tu blog funciona con PHP5.
  • La versión de tu WordPress es la más reciente de las “Nightly Builds”.

Consejos en caso de que tengas register_globals On:

  • Haz todo lo posible para desactivar el register_globals.
  • Haz un respaldo de tus archivos de WordPress y de tu base de datos inmediatamente.
  • Cambia todos los passwords utilizados en tu blog, mínimo los de tu base de datos, alguien puede ya tener esos datos.
  • Revisa que no existan usuarios desconocidos con altos privilegios.
Leer completa…

Nuevo exploit de WordPress

Estoy leyendo en fholzhauer.de que han descubierto un exploit para WordPress. Traduzco lo que dice el sitio:

Existe un exploit que afecta a todas (incluyendo 1.5.1.3) las instalaciones de WordPress que estén en un servidor que tenga la variable (de PHP) “register_globals” activada.

Con este exploit el atacante puede ejecutar cualquier comando PHP o de shell al que tenga derecho el servidor Web.

Para saber si tu servidor tiene la variable register_globals activada crea un archivo que contenga el siguiente código:

<?php phpinfo() ?>

Lo nombras cualquier_nombre_que_quieras.php, lo subes a tu servidor y lo abres en el navegador, se va a desplegar una página con información sobre PHP, en ella busca el texto register_globals y al lado aparecerá si esta activada (On) o desactivada (Off).

En caso de que este activada, en el post sugieren esta solución: insertar al principio del archivo index.php la siguiente línea de código:

<?php unset($wp_filter); ?>

No creo que sea la mejor solución porque varios plugins dependen del $wp_filter.

Mi recomendación es que hagas un respaldo de tu blog, por si llegará a ser atacado, y que esperes el parche oficial de WordPress.

PD. Si estás hospedado en DreamHost lee esta información para desactivar el register_globals, me imagino que también funciona en otros servidores.

PPD. En el foro de soporte de WordPress ya apareció un hilo.

Vía BlogBar.de
Warnung: neuer WordPress-Exploit.

Leer completa…

Ruby|PHP on Rails

Hoy, despues de haber “jugado” con Ruby on Rails por tres semanas tengo que regresar al PHP para programar una nueva aplicación… y es cuando mas siento que extraño la sencilles y elegancia del RoR.

Buscando en Google encontré algo curioso y que no sabia existía… Biscuit, que basicamente es PHP on Rails. Aun no he tenido tiempo de instalarlo pero al parecer es una buena alternativa para todos aquellos (como yo) que estamos mas familiarizados con PHP que con el menos conocido Ruby.

Espero poder utilizarlo en uno de mis próximos proyectos.

Leer completa…